Ech0 /api/allusers 信息泄露漏洞（CVE-2026-33638）

影响产品：Ech0 CVSS：6.0 漏洞类型：信息泄露 漏洞描述： Ech0 是一个轻量级的 Web 应用框架，用于快速构建和部署 Web 服务，提供简洁的 API 接口和灵活的扩展能力。该产品广泛应用于中小型 Web 应用开发、API 服务搭建等场景。该漏洞存在于 /api/allusers 接口，未进行身份验证即可访问，返回系统中所有用户的详细信息，包括用户名、密码哈希、管理员权限等敏感数据，导致严重的信息泄露。 影响： 未经过身份验证的攻击者可以利用此漏洞获取系统中所有用户的敏感信息，包括：1、用户名和密码哈希，可能用于暴力破解或凭据填充攻击；2、管理员权限标识，可识别高权限账户进行针对性攻击；3、用户账户结构信息，为进一步攻击提供情报；4、可能导致账户接管、权限提升等严重后果。 修复建议： 厂商已发布了漏洞修复程序，请及时关注更新：https://github.com临时修复方案：1、升级至最新版本；2、在 /api/allusers 接口添加身份验证机制，确保只有授权用户可以访问；3、限制返回的用户信息字段，避免泄露敏感数据如密码哈希；4、实施访问控制列表（ACL）和角色权限验证。 FOFA： title="Ech0"